Добрый день, коллеги! Имеется squid v. 3.5.8, настроена интеграция с AD, у всех браузер Chrome. Всё работало хорошо, на днях появилась следуюущая проблема - при доступе к некоторым сайтам (например отечественный поиск, ну вы поняли), загружается частичтно сайт и в полузагруженном варианте висит минут 5, причем браузер сообщает «ожидание создание туннеля прокси-сервером». В логах сквида всё ок, будто работает в штатном режиме. Другие сайты работают корректно. Что пробовал сделать - отключить полностью кеш, отключить IPv6. На что ещё обратить внимание? Если отключить прокси и зайти на тот же сайт - открывается быстро и корректно. (суммарно пользователей порядка 12-15) Спасибо!

Добрый день, коллеги! Имеем: squid 3.5.8, AD, аутентификация через Керберос. У всех юзеров всё работает. Но из-за одного юзера сыпет в cache.log вот такие ошибки: https://pastebin.com/cJe4X8Hv Причем у данного юзера, также в нормальном режиме работает прокси. У всех клиентов один браузер (chrome), всем через GPO прописан правильный адрес squid. Настройки squid: https://pastebin.com/bTP6C2zf Предполагаю, что какое-то приложение долбится через NTLM. Или юзер юзает дополнительно второй браузер (который и просит NTLM). Спасибо!

Коллеги, добрый день! Бьюсь долгое время с данной проблемой. Имеем Squid 3.5.8, Active Directory (два DC). Настроена интеграция через керберос с AD. Все работает, всё здорово. Но когда отключаешь DC1 - сквид начинает блокировать весь траффик. Если включить тутже DC1, то все работает как надо. (группы, блокировки, ACL все работает) Пересоздавал krb5.keytab. При выключении DC1, squid получает билет от DC2, все отображается в klist. PTR записи имеются, всё резолвится. Ниже конфиги, логи.

В момент блокировки в access.log в основном код 407. А в cache.log следующее: kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can’t contact LDAP server kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can’t contact LDAP server

squid.conf (ниже):

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL auth_param negotiate children 60 auth_param negotiate keep_alive off

external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-medium@DOMEN.LOCAL external_acl_type inet_full ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-full@DOMEN.LOCAL external_acl_type inet_low ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-low@DOMEN.LOCAL

acl localnet src 192.168.10.0/24

acl my_full external inet_full acl my_medium external inet_medium acl my_low external inet_low acl auth proxy_auth REQUIRED

krb5.conf (ниже):

[realms] DOMEN.LOCAL = { kdc = dc1.domen.local kdc = dc2.domen.local admin_server = dc1.domen.local default_domain = domen.local}